Introducción a Microsoft Defender Antivirus en Windows

Se aplica a:

  • Microsoft Defender para punto de conexión, planes 1 y 2
  • Microsoft Defender para Empresas
  • Antivirus de Microsoft Defender

Plataformas

  • Windows

Antivirus de Microsoft Defender está disponible en Windows 10, Windows 11 y en versiones de Windows Server.

Antivirus de Microsoft Defender es el mayor componente de protección de nueva generación en Microsoft Defender para punto de conexión. Esta protección reúne el aprendizaje automático, el análisis de macrodatos, la investigación de resistencia contra amenazas en profundidad y la infraestructura de nube de Microsoft para proteger a los dispositivos (o puntos de conexión) en la organización. El antivirus de Microsoft Defender está integrado en Windows y funciona con Microsoft Defender para punto de conexión para proporcionar protección en el dispositivo y en la nube.

funcionalidades de antivirus de Microsoft Defender

Microsoft Defender Antivirus proporciona detección de anomalías, una capa de protección para malware que no se ajusta a ningún patrón predefinido. Monitores de detección de anomalías para eventos de creación de procesos o archivos que se descargan de Internet. A través del aprendizaje automático y la protección entregada en la nube, Microsoft Defender Antivirus puede mantenerse un paso por delante de los atacantes. La detección de anomalías está activada de forma predeterminada y puede ayudar a bloquear ataques, como la alerta de seguridad 3CX para la aplicación de Electron Windows. Microsoft Defender Antivirus comenzó a bloquear este malware cuatro días antes de que el ataque se registrara en VirusTotal.

El malware moderno requiere soluciones modernas. En 2015, Microsoft Defender Antivirus pasó de usar un motor estático basado en firmas a un modelo que usa tecnologías predictivas como el aprendizaje automático, la ciencia aplicada y la inteligencia artificial, ya que esto es lo que es necesario para proteger a usted y a sus organizaciones de la complejidad del panorama de malware en constante evolución actual.

Microsoft Defender Antivirus puede bloquear casi todo el malware a primera vista, en milisegundos.

También hemos diseñado nuestra solución antivirus para que funcione tanto en escenarios en línea como sin conexión. En escenarios sin conexión, la inteligencia dinámica más reciente del gráfico de seguridad de inteligencia se aprovisiona periódicamente en el punto de conexión a lo largo del día. Cuando se conecta a la nube, se alimenta de inteligencia en tiempo real desde Intelligent Security Graph.

Microsoft Defender Antivirus también puede detener las amenazas en función de sus comportamientos y procesar árboles incluso cuando la amenaza ha comenzado a ejecutarse. Un ejemplo común de estos tipos de ataques es el malware sin archivos. Las características de protección de última generación de Microsoft funcionan conjuntamente para identificar y bloquear el malware en función del comportamiento anómalo. Para obtener más información, consulte Bloqueo y contención del comportamiento.

Compatibilidad con otros productos antivirus

Si usa un producto antimalware o antivirus que no es de Microsoft en el dispositivo, es posible que pueda ejecutar el Antivirus de Microsoft Defender en modo pasivo junto con la solución antivirus que no es de Microsoft. Depende del sistema operativo usado y de si el dispositivo está incorporado a Defender para punto de conexión. Para más información, consulte Compatibilidad con Antivirus de Microsoft Defender.

Microsoft Defender servicios y procesos antivirus

En la tabla siguiente se resumen Microsoft Defender procesos y servicios antivirus. Puede verlos en el Administrador de tareas en Windows.

Proceso o servicio Dónde ver su estado
Microsoft Defender servicio Antivirus Core
(MdCoreSvc)
- Pestaña Procesos : Antimalware Core Service
- Pestaña Detalles : MpDefenderCoreService.exe
- Pestaña Servicios : Microsoft Defender Core Service
Microsoft Defender servicio Antivirus
(WinDefend)
- Pestaña Procesos : Antimalware Service Executable
- Pestaña Detalles : MsMpEng.exe
- Pestaña Servicios : Microsoft Defender Antivirus
Microsoft Defender servicio de inspección en tiempo real de red antivirus
(WdNisSvc)
- Pestaña Procesos : Microsoft Network Realtime Inspection Service
- Pestaña Detalles : NisSrv.exe
- Pestaña Servicios : Microsoft Defender Antivirus Network Inspection Service
Microsoft Defender utilidad de línea de comandos antivirus - Pestaña Procesos : N/A
- Pestaña Detalles : MpCmdRun.exe
- Pestaña Servicios : N/A
Herramienta de configuración de directivas de cliente de Microsoft Security - Pestaña Procesos : N/A
- Pestaña Detalles : ConfigSecurityPolicy.exe
- Pestaña Servicios : N/A

Para La prevención de pérdida de datos de punto de conexión de Microsoft (DLP de punto de conexión), en la tabla siguiente se resumen los procesos y los servicios. Puede verlos en el Administrador de tareas en Windows.

Proceso o servicio Dónde ver su estado
Servicio DLP de punto de conexión de Microsoft
(MDDlpSvc)
- Pestaña Procesos : MpDlpService.exe
- Pestaña Detalles : MpDlpService.exe
- Pestaña Servicios : Microsoft Data Loss Prevention Service
Utilidad de línea de comandos DLP de punto de conexión de Microsoft - Pestaña Procesos : N/A
- Pestaña Detalles : MpDlpCmd.exe
- Pestaña Servicios : N/A

servicio Microsoft Defender Core

Para mejorar la experiencia de seguridad de los puntos de conexión, Microsoft publica el servicio Microsoft Defender Core para ayudar con la estabilidad y el rendimiento de Microsoft Defender Antivirus. Para los clientes que usan la prevención de pérdida de datos de punto de conexión de Microsoft en los sectores empresariales pequeños, medianos y empresariales, Microsoft está dividiendo el código base en su propio servicio.

El servicio Microsoft Defender Core se publica con Microsoft Defender versión 4.18.23110.2009 de la plataforma Antivirus.

  • El lanzamiento comienza en noviembre de 2023 para la versión preliminar de los clientes, con planes de lanzamiento para todos los clientes empresariales en los próximos meses.

  • Los clientes empresariales deben permitir las siguientes direcciones URL:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.com
    • *.ecs.office.com
  • Los clientes de Enterprise U.S. Government deben permitir las siguientes direcciones URL:

    • *.events.data.microsoft.com
    • *.endpoint.security.microsoft.us (GCC-H & DoD)
    • *.gccmod.ecs.office.com (GCC-M)
    • *.config.ecs.gov.teams.microsoft.us (GCC-H)
    • *.config.ecs.dod.teams.microsoft.us (DoD)
  • Si usa Control de aplicaciones para Windows o ejecuta software de respuesta y detección de puntos de conexión o antivirus que no son de Microsoft, asegúrese de agregar los procesos mencionados anteriormente a la lista de permitidos.

  • Los consumidores no necesitan realizar ninguna acción para prepararse.

Comparación del modo activo, el modo pasivo y el modo deshabilitado

En la tabla siguiente se describe qué esperar cuando el Antivirus de Microsoft Defender está en modo activo, en modo pasivo o deshabilitado.

Modo Qué ocurre
Modo activo En modo activo, el Antivirus de Microsoft Defender se usa como la aplicación antivirus principal en el dispositivo. Los archivos se examinan, se corrigen las amenazas y las amenazas detectadas se enumeran en los informes de seguridad de la organización y en la aplicación de Seguridad de Windows.
Modo pasivo En modo pasivo, el Antivirus de Microsoft Defender no se usa como la aplicación antivirus principal en el dispositivo. Los archivos se examinan y se notifican las amenazas detectadas, pero el Antivirus de Microsoft Defender no corrige las amenazas.

IMPORTANTE: El Antivirus de Microsoft Defender solo se puede ejecutar en modo pasivo en los puntos de conexión que se incorporan a Microsoft Defender para punto de conexión. Consulte Requisitos para que el Antivirus de Microsoft Defender se ejecute en modo pasivo.
Deshabilitado o desinstalado Cuando se deshabilita o desinstala, no se usa el Antivirus de Microsoft Defender. Los archivos no se examinan y las amenazas no se corrigen. En general, no se recomienda deshabilitar o desinstalar el Antivirus de Microsoft Defender.

Para más información, consulte Compatibilidad con Antivirus de Microsoft Defender.

Comprobar el estado del Antivirus de Microsoft Defender en el dispositivo

Puede usar uno de varios métodos, como la aplicación Seguridad de Windows o Windows PowerShell, para comprobar el estado de Antivirus de Microsoft Defender en el dispositivo.

Importante

A partir de la versión de la plataforma 4.18.2208.0 y versiones posteriores: si un servidor se ha incorporado a Microsoft Defender para punto de conexión, la configuración de directiva de grupo "Desactivar Windows Defender" ya no deshabilitará completamente Windows Defender Antivirus activado. Windows Server 2012 R2 y versiones posteriores. En su lugar, lo colocará en modo pasivo. Además, la característica de protección contra alteraciones permitirá cambiar al modo activo, pero no al modo pasivo.

  • Si ya se ha implementado "Desactivar Windows Defender" antes de incorporarse a Microsoft Defender para punto de conexión, no habrá ningún cambio y Antivirus de Defender permanecerá deshabilitado.
  • Para cambiar antivirus de Defender al modo pasivo, incluso si se deshabilitó antes de la incorporación, puede aplicar la configuración de ForceDefenderPassiveMode con un valor de 1. Para colocarlo en modo activo, cambie este valor a 0 en su lugar.

Tenga en cuenta la lógica modificada para ForceDefenderPassiveMode cuando se habilita la protección contra alteraciones: una vez que Microsoft Defender Antivirus cambia al modo activo, la protección contra alteraciones impedirá que vuelva al modo pasivo incluso cuando ForceDefenderPassiveMode se establezca en 1.

Usar la aplicación Seguridad de Windows para comprobar el estado del Antivirus de Microsoft Defender

  1. En el dispositivo Windows, seleccione el menú Inicio y empiece a escribir Security. A continuación, abra la aplicación Seguridad de Windows en los resultados.

  2. Seleccione Protección antivirus y contra amenazas.

  3. En ¿Quién me protege?, elija Administrar proveedores.

Verá el nombre de la solución antivirus o antimalware en la página de proveedores de seguridad.

Usar PowerShell para comprobar el estado del Antivirus de Microsoft Defender

  1. Seleccione el menú Inicio y empiece a escribir PowerShell. A continuación, abra Windows PowerShell en los resultados.

  2. Tipo Get-MpComputerStatus.

  3. En la lista de resultados, examine la fila AMRunningMode.

    • Normal significa que el Antivirus de Microsoft Defender se ejecuta en modo activo.

    • Modo pasivo significa que el Antivirus de Microsoft Defender está ejecución, pero no es el producto antivirus/antimalware principal del dispositivo. El modo pasivo solo está disponible para los dispositivos que se incorporan a Microsoft Defender para punto de conexión y que cumplen determinados requisitos. Consulte Requisitos para que el Antivirus de Microsoft Defender se ejecute en modo pasivo.

    • Modo de bloqueo de EDR: significa que el Antivirus de Microsoft Defender se está ejecutando y que está habilitada la Detección y respuesta de puntos de conexión (EDR) en modo de bloqueo, una funcionalidad de Microsoft Defender para punto de conexión. Compruebe la clave del Registro ForceDefenderPassiveMode . Si su valor es 0, se ejecuta en modo normal; De lo contrario, se ejecuta en modo pasivo.

    • El modo pasivo de SxS significa Microsoft Defender Antivirus se ejecuta junto con otro producto antivirus o antimalware y se usa un examen periódico limitado.

Sugerencia

Para obtener más información sobre el cmdlet de Get-MpComputerStatus PowerShell, consulte el artículo de referencia Get-MpComputerStatus.

Sugerencia

Sugerencia de rendimiento Debido a una variedad de factores (ejemplos que se enumeran a continuación) Microsoft Defender Antivirus, al igual que otros software antivirus, puede causar problemas de rendimiento en los dispositivos de punto de conexión. En algunos casos, es posible que tenga que ajustar el rendimiento de Microsoft Defender Antivirus para aliviar esos problemas de rendimiento. El analizador de rendimiento de Microsoft es una herramienta de línea de comandos de PowerShell que ayuda a determinar qué archivos, rutas de acceso de archivo, procesos y extensiones de archivo podrían estar causando problemas de rendimiento; Algunos ejemplos son:

  • Rutas de acceso principales que afectan al tiempo de examen
  • Archivos principales que afectan al tiempo de examen
  • Principales procesos que afectan al tiempo de examen
  • Extensiones de archivo principales que afectan al tiempo de examen
  • Combinaciones: por ejemplo:
    • archivos principales por extensión
    • rutas de acceso superiores por extensión
    • procesos principales por ruta de acceso
    • exámenes superiores por archivo
    • exámenes superiores por archivo por proceso

Puede usar la información recopilada mediante el Analizador de rendimiento para evaluar mejor los problemas de rendimiento y aplicar acciones de corrección. Consulte: Analizador de rendimiento para Microsoft Defender Antivirus.

Obtener actualizaciones de la plataforma malware/antivirus

Es importante mantener actualizado el Antivirus de Microsoft Defender, o cualquier solución antivirus/antimalware. Microsoft publica actualizaciones periódicas para ayudar a garantizar que los dispositivos tengan la última tecnología para protegerse contra nuevas técnicas de ataque y malware. Para obtener más información, consulte Administrar actualizaciones de Antivirus de Microsoft Defender y aplicar bases de referencia.

Vea también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.